Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

金券送付が逆効果になることも? 漏洩事故処理で求められる「質」

※本記事はメールマガジン「3分で読める! 今週のITセキュリティ(2004/9/17号)」に掲載されたものです

頻発する内部犯行による個人情報漏洩。紛失や盗難と比較し、気がつかない間に情報を抜き取られることで、被害が拡大するケースも多い。不正アクセスや盗難による巨大個人情報漏洩事件もあるが、記憶メディアの高容量化や、USBメモリの普及を背景に、内部犯行による事件が目立つ。

そのような中、個人情報漏洩事件で大きく注目を浴びているのが「金券」の送付だ。顧客に対し、事故後にいくらかの金券(割引券)を送付することで、お詫びする意志を示すというものだ。

送付する金券の相場は500円?1000円程度。しかし、数万件の漏洩が発生した場合、企業にとって大きな負担とある金額だ。大手プロバイダでは30億円以上の損失を出したケースもある。ブランドイメージを下げないよう企業も必死ということだ。保険でも、「見舞金」としてサポートする商品も発売されている。

では、消費者はどのように受け止めているのだろうか? 日経BPが「個人情報流出」に関するアンケートを実施した。その結果を見ると、評価できるとの回答はわずか4.7%にとどまった。65.4%は、「評価できないが、なにもしないよりはまし」とし、29.5%は「評価できない」と答えている。

金券への評価が低い理由としては、「企業に対する信用の問題」「金券により漏洩した個人情報が元に戻るわけではない」「流出した個人情報の価格より低い」との回答が寄せられた。

一方、評価が高かったのは「営業活動の自粛」だ。41.1%が評価できるとしており、金券送付を遙かに上回っている。

金券送付の是非

専門家の間では、「金券の送付が必ずしも効果的ではない」という見解は以前からあった。個人情報漏洩事件の対処における基本は、まず消費者へ状況の報告を行い、事故調査、再発防止策の決定など、企業としてどのように問題を解決するか決め、公表、実践することだ。「金券の送付」はあくまでオプションでしかない。

また、必ずしも効果的と考えない理由に実作業やコスト上、大きな問題があることも忘れてはならない。

大きな問題とは、「誰に送付するか」だ。対象となる一部顧客へ送れば良いかといえば、そのように単純な問題ではない。個人情報漏洩事件は、事故調査を進めることにより、規模が大きく変化する場合が多々ある。当初数百件だったものが、最終的に数百万件になったという例もある。

となると、対象となる顧客を特定し、送付するというタイミングを決めることが非常に難しいことだというのは容易に予想がつくだろう。また、当初決めた金額が妥当だったのか、企業としてフォローできる金額なのか、読みを間違えると企業の経営基盤そのものを揺るがしかねない。

そして、企業が負担するコストの問題だ。数十万件の規模で漏洩すれば、単純計算でも数億円のコストがかかる。当然、人件費など通常より多くの費用がかかるだろう。そうなると、もはや保険などを用いてもカバーしきれる規模ではない。

基本は不安を与えたお詫びとして「全員に送付」だろう。金券送付は、消費者と和解契約を結ぶというわけではない。企業が自ら判断し、送付するものでしかない。この点において送付する側と受信する側に温度差がある。

消費者としては、不安を与えられたということで、全員が企業に対して不信感を持っている。自分の情報が漏洩したのか、していないのか。金券の支払い対象となるのか、ならないのか。一部のみに送付するとなれば、必ず混乱が生まれる。そうなれば、さらなる不信感を煽ってしまうことにもなりかねないからだ。

決して「金券送付」を悪いといっているわけではない。消費者に誠意を見せる手段のひとつとして一考の価値はある。しかし、場合によっては上記のようなリスクが伴うこともあるということを認識しておくべきだ。もし、送付するのであれば、専門家による慎重な判断が求める方が良いだろう。

いずれにしても「金券送付」は問題解決のオプションに過ぎないということだ。「金券送付=問題解決」などと単純に考えていたら、非常に大きなダメージを負ってしまうことは覚えておいてほしい。

最近、個人情報漏洩事件の報道が増えたと思いませんか?

消費者が求めているものは何か? それは正確な情報だ。先ほどのアンケート結果では「個人情報が漏洩しているか、否か」「流出経路、原因」などを望む声が非常に高い。また、「流出した個人情報の変更」など実質的な処理を望む声もある。

鋭い読者の方はお気づきだろう。以前、ウェブ上のコラムに執筆したが、ここのところ個人情報漏洩事件が多数報道される理由は、「情報公開」の重要さに企業が気がつき始めたからだ。以前は表に出てこなかった情報を企業自らディスクロージャーしているのだ。

個人情報漏洩の裏側で確実に二次被害が広がっている。先日も信販会社から漏洩した個人情報が悪用され、架空請求の被害に遭ったという事件が報道されている。無差別に電話をかけまくる「オレオレ詐欺」とは異なり、個人情報を活用した架空請求は、相手がこちらの情報を把握し、詳細情報を話に持ち出すため、心理的に相手の話を信じてしまいやすく、被害も発生しやすいのだ。

個人情報が漏洩したまま放置すれば、消費者を高いリスクへ放り込み、そのまま放置するのと同様だ。消費者もそのことに気がついており、情報公開を求めている……。企業はどのように対応すべきか?

そう考えれば、自然と企業が取るべき措置、消費者から評価される措置が見えてくる。個人情報漏洩事故を発生させてしまった際に重要となるのは、漏洩の内容、規模に遭わせた適切な対処であり、消費者の信頼を取り戻すため、最も適切な対処をケースごとに選択する必要がある。

(Security NEXT - 2004/09/21 ) このエントリーをはてなブックマークに追加

PR

関連記事

一部製品のTLS実装に暗号解読される脆弱性、「ROBOT攻撃」受けるおそれ - 「Facebook」などにも影響
「SECCON 2017」予選、上位100チームを発表
「SECCON 2017」オンライン予選の登録受付が開始
2016年度のSIEM市場は39.8億円 - 前年度比13.7%増
10月以降、「DreamBot」の感染被害が拡大 - リンク付きメールに注意
MS、2017年最後の月例セキュリティ更新 - 脆弱性32件を修正
システム管理者アカウントが奪われ、個人情報約7万件が流出 - 阪大
「Adobe Flash Player」にセキュリティアップデート - 深刻な脆弱性は含まれず
Apple、「macOS High Sierra 10.13.2」などであわせて脆弱性22件を修正
企業向け認知度調査、もっとも高い「WannaCrypt」でさえ4割満たず